PKCS#11
Что такое PKCS#11?
PKCS#11Стандартный C-API под названием Cryptoki, позволяющий приложениям использовать криптографические токены (HSM, смарт-карты) без привязки к проприетарному драйверу.
PKCS#11 (Public-Key Cryptography Standard №11) был первоначально опубликован RSA Laboratories и в настоящее время поддерживается OASIS. Он определяет платформонезависимый C-интерфейс Cryptoki для работы с криптографическими токенами. Токен предоставляет слоты, сессии и объекты (ключи, сертификаты, данные); операции C_Sign, C_Encrypt, C_Wrap и C_DeriveKey выполняются внутри устройства, поэтому закрытые ключи никогда не покидают его. Это де-факто стандарт для подключения HSM, смарт-карт и TPM к серверам TLS (OpenSSL через pkcs11-provider), PKI, конвейерам подписания кода и клиентам KMIP. Версия PKCS#11 v3.1 добавила Ed25519, EdDSA и постквантовые примитивы.
● Примеры
- 01
OpenSSL использует YubiHSM 2 через pkcs11-provider для подписи запроса TLS-сертификата.
- 02
Пайплайн подписания кода вызывает C_Sign на ключе в AWS CloudHSM без его экспорта.
● Частые вопросы
Что такое PKCS#11?
Стандартный C-API под названием Cryptoki, позволяющий приложениям использовать криптографические токены (HSM, смарт-карты) без привязки к проприетарному драйверу. Относится к категории Криптография в кибербезопасности.
Что означает PKCS#11?
Стандартный C-API под названием Cryptoki, позволяющий приложениям использовать криптографические токены (HSM, смарт-карты) без привязки к проприетарному драйверу.
Как работает PKCS#11?
PKCS#11 (Public-Key Cryptography Standard №11) был первоначально опубликован RSA Laboratories и в настоящее время поддерживается OASIS. Он определяет платформонезависимый C-интерфейс Cryptoki для работы с криптографическими токенами. Токен предоставляет слоты, сессии и объекты (ключи, сертификаты, данные); операции C_Sign, C_Encrypt, C_Wrap и C_DeriveKey выполняются внутри устройства, поэтому закрытые ключи никогда не покидают его. Это де-факто стандарт для подключения HSM, смарт-карт и TPM к серверам TLS (OpenSSL через pkcs11-provider), PKI, конвейерам подписания кода и клиентам KMIP. Версия PKCS#11 v3.1 добавила Ed25519, EdDSA и постквантовые примитивы.
Как защититься от PKCS#11?
Защита от PKCS#11 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия PKCS#11?
Распространённые альтернативные названия: Cryptoki, PKCS11.
● Связанные термины
- cryptography№ 461
Аппаратный модуль безопасности (HSM)
Защищённое от вскрытия устройство, генерирующее, хранящее и использующее криптографические ключи, не раскрывая операционной системе сам ключевой материал.
- cryptography№ 1178
Trusted Platform Module (TPM)
Стандартизированный микрочип безопасности, припаянный к материнской плате или реализованный в прошивке; обеспечивает аппаратный корень доверия, аттестацию и измеренную загрузку.
- cryptography№ 1054
Смарт-карта
Карта размером с кредитную с встроенным защищённым микроконтроллером, которая хранит учётные данные и выполняет криптографические операции; контактные карты определяются ISO/IEC 7816.
- cryptography№ 067
Асимметричное шифрование
Криптографическая схема, использующая математически связанные пары ключей (открытый — для шифрования, закрытый — для расшифрования) и позволяющая безопасно общаться без предварительного обмена секретом.